インターネットを使い始めてからずっと、特にプログラムや実行ファイルの場合は、事前に確認せずに何かをダウンロードしてはいけないと警告されてきました。当時も今もそれは変わりませんが、脅威はより深刻になっています。例えば、人気のパスワードマネージャーKeePassの改変版がランサムウェアを拡散しているのが確認されています。
ハッカーたちは古くからある手口を使って、本物のKeePassサイト(KeePass.info)に酷似した「スクワッター」URLを持つ新しいサイトを立ち上げました。偽サイトのインターフェースは本物をほぼ完璧に模倣しており、パスワードマネージャーのダウンロードを提供しています。しかし、WithSecureの調査によると、ハッカーたちはこれらの偽サイトを、よくあるマルウェアを拡散させる手段として提供しただけではありません。オープンソースのKeePassプログラム自体を改変し、正規の証明書で署名することで、本物らしく見せかけていたのです。
感染したバージョンは通常はパスワードマネージャーとして動作しますが、裏ではログイン情報とパスワードを盗み、ランサムウェアのペイロードをインストールし、ネットワーク上の他の対応マシンに拡散します。ランサムウェアが起動すると、感染したマシンはリモートで暗号化され、ハッカーは望むだけのデータを盗み出し、匿名で身代金を要求することができます。
偽造KeePassプログラムは、複数のURLに読み込まれていましたが、これらは基本的に本物のURLの誤字です。BleepingComputerによると、偽サイトはWindowsとEdgeブラウザのデフォルトであるMicrosoftのBing検索エンジン上の広告を利用して宣伝されていました。検索エンジンが有料広告を介したマルウェア拡散に悩まされるのは今回が初めてではありません。しかし、このような権威ある企業が配信する広告に一般ユーザーが警戒することを期待するのは無理があるように思われます。適切な注意を払う責任は、脅威軽減技術が明らかに不足している広告スペースを販売する人々に負わされるべきです。
キャンペーンで使用された偽ドメインのうち、少なくとも1つはこの記事の執筆時点でもまだ有効で、本物とほとんど区別がつきません。正直に言うと、私のような用心深いプロの技術ライターでさえ、特に検索結果と呼べない広告をクリックしてそこに辿り着いた場合は、騙されてしまうと思います。
さらに読む:おすすめのパスワードマネージャー
著者: Michael Crider、PCWorld スタッフライター
マイケルはテクノロジージャーナリズムのベテランとして10年のキャリアを持ち、AppleからZTEまであらゆるテクノロジーをカバーしています。PCWorldではキーボードマニアとして活躍し、常に新しいキーボードをレビューに使用し、仕事以外では新しいメカニカルキーボードを組み立てたり、デスクトップの「バトルステーション」を拡張したりしています。これまでにAndroid Police、Digital Trends、Wired、Lifehacker、How-To Geekなどで記事を執筆し、CESやMobile World Congressなどのイベントをライブで取材してきました。ペンシルベニア州在住のマイケルは、次のカヤック旅行を心待ちにしています。
